风险管理“三道防线”含义新内容

1、风险管理三道防线含义新内容一、风险管理"三道防线”的概念一谈到企业风险管理的“三道防线"概念。我们就会想到前些年企业进行 全面风险管理体系建设时，经常提起的在组织机构层面建立企业风险管理的 “三道防线”的做法,即企业的业务部门作为前端部门是风险管理的第一道防 线；企业风险管理职能机构作为风险管理的第二道防线；企业的内部审计职 能机构作为风险管理的第三道防线。三道防线共同组成了企业风险管理的防线系统，中国企业前些年进行的 风险管理体系建设主要内容，是以建设第二道防线为主，包括建立组织机构 和工作机制，识别和评估包括整个风险管理防线系统的相关风险，作为第二 道防线工作开展的基础

2、。下图是前些年我们对典型的三道防线组织架构图的理解。在国际上，也有跟国内"三道防线”提法相对应的概念，即Three Lines of Defense ,也可以直译为三道防线。即第一道防线是Risk Owner （风险所有 方），也是指业务单元或部门；第二道防线是Risk Management （风险管理）, 前些年在风险管理理论还不太成熟时，也有称第二道防线是Risk Control and Compliance（风险控制与合规）;第三道防线是Risk Assurance （风险 保证），主要是指内部审计部门。"三道防线”的概念到底是中国人先提出的还是国际上先出现的，我们还

3、 没有找到确凿的证据，如果是国际上先出现的，中国的三道防线的概念的提 出是否是借鉴了国际经验,现在还不好下定论。二、新版COSO-ERM中对于“三道防线”的表述新版COSO在附录中也阐述了对于三道防线的概念，是从风险管理责任的角度论述的，谈到了首席执行官CEO、首席风险官CRO和管理层三个层 面各自的风险责任。同时，也阐述了风险管理责任落实的第一道防线是：核心业务部门(CoreBusiness );第二道防线是：支持职能部门(Supporting Function );第三道防线是：保证职能部门(Assurance Function )。核心业务部门：和我们前期提到的第一道防线的概念基本一致，

4、即企业 管理的前台部门，作为风险管理的第一责任机构；支持职能部门：这部分作为第二道防线和前期的提法变化最大，支持职 能部门除了包含风险管理专职职能之外，还包括：法务、合规、财务、人力、 质量、安全等,所有可以协助一线核心业务部门进行风险管控的职能,都应 该属于支持职能部门，即第二道防线；保证职能部门：主要指的是审计部门，包括内部审计和外部审计。其中和我们原来三道防线的提法变化最大的就是第二道防线的内容，对 原来风险管理职能进行了重新定义。原来我们指的是风险管理职能部门和风 险管理委员会组成了企业风险管理的第二道防线。现在第二道防线将风险管 理职能部门的范围扩展到了所有支持部门。应该说，这是一种

5、进步，是将风 险管理工作从独立的视角向整合的视角，以及更好的从企业管理活动的实际 出发进行的重新定位。其实COSO早在2015年就专门发布过关于企业风险管理三道防线的说 明性文件，阐述了类似的理念。各位如有进一步学习需要，请见页尾方式获 取。三、企业核心价值链是纲，“三道防线”是目，纲举才能目张基于COSO新版企业风险管理框架的方向性变化,可以看得出风险管理 还是要遵守企业管理的法则，从整体企业价值创造的角度出发,才能更好的 找到自己的位置和价值。就三道防线而言，要结合企业核心价值创造的一系列活动来定义，才能 更好的体现风险管理工作的意义和价值。由美国著名战略学家迈克尔波特提出的“价值链分析法

6、'(Michael Porter s Value Chain Model ),把企业内外价值增加的活动分为基本活动 和支持性活动。基本活动包括生产、销售、采购、售后服务等核心环节。支 持性活动涉及人事、财务、计划、研究与开发等,基本活动和支持性活动构 成了企业的价值链。不同的企业参与的价值活动中，并不是每个环节都创造价值，实际上只 有某些特定的价值活动才真正创造价值，这些真正创造价值的经营活动，就是价值链上的“战略环节,企业要保持的竞争优势,实际上就是企业在价值链某些特定的战略环节上的优势。运用价值链的分析方法来确定核心竞争力，就是要求企业密切关注组织 的资源状态，要求企业特别关注和培

7、养在价值链的关键环节上获得重要的核 心竞争力，以形成和巩固企业在行业内的竞争优势。企业的优势既可以来源 于价值活动所涉及的市场范围的调整,也可来源于企业间协调或合用价值链 所带来的最优化效益。波特的价值链分析法可以用如下图表示：四、构建企业核心价值链下的新型“三道防线”根据上述分析,为了让风险管理工作更好的发挥价值，必须将风险管理 工作更好的融入企业的管理过程，嵌入到企业管理活动中去，而不是单搞一 套，造成形式主义。结合COSO关于三道防线的方向性建议与企业核心价值链的构造,结合 中国企业的实际,我们可以粗略的构思出如下关于新型“三道防线”含义的表达图示。第二道防线第二道防线第谢防线第一道防线

8、第二道防线保证支持基本价价创ifi支K保id财务法务风险管理人力 研发采购加工生产销售客户服务信息化技术内部控制安全 侦尿利润F本图以制造业企业为蓝本，中间一行以基础价值创造活动为核心，构成 了风险管理的第一道防线；基础价值创造活动两旁是支持职能，来更好的支持基础价值创造活动的 目标达成。除了我们说的风险管理专职职能如风险管理、内部控制，还包括 我们比较常见的财务、法务、人力、研发、信息化、技术、安全、质量等等, 其他内容不再一一列举，只要符合我们对第二道防线的定义范畴，都可以算 是第二道防线的支持职能；最外围的是保证职能，也就是第三道防线，包含了审计职能（内部审计 与外部审计）,还包含中国企

9、业特有的两块职能，纪检和监察，共同组成了 第三道防线。如果最终的价值体现可以归结为利润，那么我们就可以以利润达成为目 标，当然价值的体现不仅仅可以归纳为利润，这个话题我们前面的文章中聊 过关于价值的内容，再此不再详述。五、企业风险管理中"三道防线''的职能发挥企业风险管理的三道防线概念既然已经明确,那各道防线对于风险管理 责任的承担是怎么分配的呢。在前些年中国企业风险管理体系建立的过程中,曾经有一段时间,有一 部分企业的相关领导认为，企业的风险管理工作就应该是风险管理专职职能 负责。最开始企业的各业务部门对此种权利的划分是有意见的。有的质疑风险管理部门的精力是否可以照

10、顾到每类风险，有的质疑风险 管理部门不够专业来管理这么多类风险，还有的是因为不想让风险管理部门 插手自身业务太多,对自己形成牵制。尽管有这么多的质疑，有的企业领导 在初期还是把各类风险管理的权利和职责分配给了风险管理职能部门。经过 一段时间的运行,突然有一天企业各业务部门醒悟了，觉得这样的授权方式 太爽了，业务部门的风险都由风险管理部门负责,自己不用再担心出事担责 任了，而风险管理部门则被这种突如其来的"充分授权"搞得头晕脑胀，苦不 堪言。在风险管理工作开展的初期,种种如上的错位还有很多，这样的决策破坏企业管理最基本的"责、权、利"的统一和对等。职位/权利企业风险管理的职责和企业管理的职责是一致的.利益仇的事维坦舁,被授予了什么样的权利，即同时授予了相对应的风险管理的职能，这是不能分割的一个整体。我们可以通过华为的企业风险管理实践了解一下企业应用层